Auch Vodafone UK verliert Nutzerdaten an Hacker

Vodafone UK musste am Wochenende über einen Sicherheitsvorfall informieren, bei dem 1827 Kundenkonten exponiert wurden. Es ist binnen kurzem der zweite Vorfall dieser Art in Großbritannien – nach einer „bedeutenden, lang dauernde Cyberattacke“ auf TalkTalk.

Vodafone hat nach eigenen Angaben die betroffenen Kunden kontaktiert. Bisher ist nur klar, dass Unbekannte auf Namen, Mobilfunknummern, Bankleitzahlen und Teile der Kontonummer zugreifen konnten.

Während Details zu Vodafone noch auf sich warten lassen, gab es im Fall TalkTalk am Wochenende die dritte Verhaftung. Nach zwei Teenagern (einer aus London, der andere in Nordirland) wurde ein 20-jähriger Verdächtiger in der Grafschaft Staffordshire festgesetzt. Es scheint sich also um einen koordinierten Angriff und nicht um die Tat eines Einzelgängers gehandelt zu haben.

TalkTalk hatte ursprünglich mitgeteilt, möglicherweise sei auf Daten aller 4 Millionen Kunden zugegriffen worden. Am vergangenen Freitag konnte es die Zahl auf 1,2 Millionen reduzieren, deren E-Mail-Adressen, Namen und Telefonnummern eingesehen wurden. Darunter sind 21.000 Fälle, in denen auch Kontonummern samt Bankleitzahl eingesehen wurden – sowie 28.000 Kreditkartendaten.

TalkTalk entschuldigte sich bei den Nutzern. Die Betroffenen erhalten ein Jahr Kontenüberwachung durch die Firma Noddle. Detective Superintendent Jayne Snelgrove lobte TalkTalks Vorgehen – es habe „alles richtig gemacht, indem es uns diese Angelegenheit so schnell wie möglich zur Kenntnis brachte.“

Ganz anders sehen das allerdings zahlreiche TalkTalk-Kunden, und der unabhängige Sicherheitsforscher Graham Cluley gibt ihnen recht. Beispielsweise gebe es keine Erstattung von Kriminellen vom Bankkonto abgebuchter Beträge, wenn der TalkTalk-Kunde selbst irgendwelche Angaben gemacht habe. Die Strategie der Betrüger ist es aber, mit den bei TalkTalk gestohlenen Daten beim Kunden anzurufen und ihn zur Herausgabe weiterer Daten zu verleiten. Wenn der Kunde einem solchen Betrüger in der Überraschung aufsitzt, der immerhin seine Kontonummer und seine Mobilfunknummer kennt, ist TalkTalk mindestens eine Teilschuld anzulasten.

Weiter bemängelt Cluley, dass die Website nicht gegen SQL-Injection gehärtet war und Daten im Klartext speicherte. TalkTalk war wenige Stunden nach dem Vorfall auch dadurch unangenehm ausgefallen, dass es erklärte, zu einer Verschlüsselung von Kreditkartendaten nicht gesetzlich verpflichtet zu sein, sondern nur zu „angemessener“ Absicherung.

[mit Material von Katie Collins, News.com]